[Cisco VPN] NAT, PAT 설명 및 VPN 설정 + Translate_hits, Untranslate_hits (ASDM)

1. NAT(Network Address Translation, NAT)

: 내부 네트웍 IP를 외부 IP대역으로 변환(translation)해주는 것.

변환해주는 이유는 내부 네트워크 보호 또는 Public IP 부족 등을 해결하기 위해.

여러 개의 내부 네트웍 대역이 1개의 Public IP를 port별로 나누어서 사용할 수 있다. (= PAT)

Static NAT는 하나의 내부 IP을 하나의 외부 IP와 1:1 매핑, Dynamic NAT는 N:N, PAT는 1:N이 가능하다.

​

- Static NAT

. 동작 방식

1) 내부 IP 주소에 따른 외부 IP주소를 미리 1:1 설정

2) 외부 주소에서 내부로 들어온 패킷을 NAT에서 내부 주소로 변환 후 전달

외부 -----------(NAT)-------------> 내부

​

- Dynamic NAT

. 내부 IP대역, 외부 IP대역을 N:N 설정 후, 실제로 패킷이 인입될 때 설정한 IP POOL에 있는 IP가 할당된다.

​

​

2. PAT(Port Address Translation)

: 일반적인 NAT는 내부 네트워크 주소와 외부로 변환되는 주소가 1:1로 매치되는 경우를 말한다.

만약, 다수의 내부 네트워크 주소가 하나의 주소로 변환되어 외부로 나갈 경우에는 오버로딩(Overloading) 또는 PAT (Port Address Translation) 기능이 필요하다.

PAT는 전송 계층 식별자인 TCP와 UDP의 포트 번호, ICMP 쿼리 식별자까지 변환함으로써 주소 변환의 개념을 한층 발전시켰다.

하나의 공인 IP 주소만 있어도 내부 네트워크 전체 주소를 변환할 수 있는 오버로딩 기능덕분에 IP 주소 고갈을 해결할 수 있다.

​

​

3. Cisco VPN에서 NAT 설정

Configuration 탭 > Firewall > NAT Rules 에서 인터페이스별 NAT 설정

any, any 설정은 대역마다 다른 IP를 할당할 수 없으므로, 처음부터 명확한 IP 대역을 설정하는 것이 좋음.

Source Intf는 내부 대역으로 설정하고 Dest Intf는 외부 대역으로 설정 및 Dynamic PAT로 설정을 해야 ip 고갈을 해결할 수 있다.

+ Description은 미래에 이걸 왜 설정했는지 까먹는 경우가 생기므로.. 미리미리 작성해두는 것이 좋다.

​

​

4. Cisco VPN에서 NAT된 내역 조회

Monitoring 탭 > VPN > VPN Statistics > Sessions에서 VPN 접속 방식(Site-to-Site, Remote Access 등)에 따라 조회 가능하다.

각 접속된 방식 및 User에 따라 Assigned IP Address, Public(Peer) IP Address를 함께 확인할 수 있다.

​

5. NAT Policy 및 실제 사용되는 packet량 조회

Tolls > Command Line Interface 에서 "show nat"

Result of the command: "show nat"

Manual NAT Policies (Section 1)

1 (trial) to (outside) source dynamic DM_INLINE_NETWORK_20 interface

translate_hits = 8996, untranslate_hits = 3

2 (AT_S) to (outside) source dynamic DM_INLINE_NETWORK_3 interface destination static 8.8.0.0 8.8.0.0 description Ms.YR for_DNS__by Jane_200518

translate_hits = 124663, untranslate_hits = 124664

3 (AT_S) to (outside) source dynamic any interface inactive

translate_hits = 0, untranslate_hits = 0

4 (AT_S) to (any) source static 172.20.20.0 172.20.20.0 destination static NETWORK_OBJ_172.20.62.232_29 NETWORK_OBJ_172.20.62.232_29 unidirectional description Mr.Choi_Jongtak__by_Jane_200513

translate_hits = 0, untranslate_hits = 161

5 (AT_S) to (outside) source static any any destination static NETWORK_OBJ_172.20.38.128_29 NETWORK_OBJ_172.20.38.128_29 no-proxy-arp route-lookup

translate_hits = 0, untranslate_hits = 0

6 (AWS) to (outside) source static NETWORK_OBJ_20.20.20.50 NETWORK_OBJ_20.20.20.50 no-proxy-arp route-lookup description For_mobile__by_S

translate_hits = 3554, untranslate_hits = 9901

7 (AT_S) to (outside) source static any any destination static NETWORK_OBJ_172.20.38.80_28 NETWORK_OBJ_172.20.38.80_28 unidirectional description Mr.Jung__by_Jane_200515

translate_hits = 0, untranslate_hits = 18

8 (DEMO) to (outside) source dynamic 50.50.50.0 interface description Mr.cho__by_Jane_200519

translate_hits = 0, untranslate_hits = 0

​

* 참고

• translate_hits: counter for real to mapped IP addresses       // 내부 --> 외부

• untranslate_hits: counter for mapped to real IP addresses  // 내부 <-- 외부

즉, 외부에서 내부로 서비스 접속을 시도하게 되면 untranslate_hits count가 발생된다.

​

예를 들어 아래의 IP에 대해서 Inside to Outside NAT 설정돼 있다면, hits가 되는 방향은 아래와 같다.

Inside Real IP = 172.20.43.10

Outside Mapping IP = 1.1.1.1

=

Translate_hits = 172.20.43.10 to 1.1.1.1

Untranslate_hits = 1.1.1.1 to 172.20.43.10